免费视频淫片aa毛片_日韩高清在线亚洲专区vr_日韩大片免费观看视频播放_亚洲欧美国产精品完整版

D i ff i e - H e l l m a n交換完成后，通信雙方已建立了一個(gè)共享的秘密，只是尚未驗(yàn)證通過(guò)。它

們可利用該秘密（在I K E的情況下，則使用自它衍生的一個(gè)秘密）來(lái)保護(hù)自家的通信。但在這

種情況下，卻不能保證遠(yuǎn)程通信方事實(shí)上真是自己所信任的。因此， I K E交換的下一個(gè)步驟便

是對(duì)D i ff i e - H e l l m a n共享秘密進(jìn)行驗(yàn)證，同時(shí)理所當(dāng)然地，還要對(duì)IKE SA本身進(jìn)行驗(yàn)證。I K E

定義了五種驗(yàn)證方法：預(yù)共享密鑰；數(shù)字簽名（使用數(shù)字簽名標(biāo)準(zhǔn)，即D S S）；數(shù)字簽名

（使用R S A公共密鑰算法）；用R S A進(jìn)行加密的n o n c e交換；以及用加密n o n c e進(jìn)行的一種“校

訂”驗(yàn)證方法，它與其它加密的n o n c e方法稍有區(qū)別（所謂“n o n c e”，其實(shí)就是一種隨機(jī)數(shù)字。

I K E交換牽涉到的每一方都會(huì)對(duì)交換的狀態(tài)產(chǎn)生影響。

我們將IKE SA的創(chuàng)建稱為“階段一”。階段一完成后，階段二便開始了。在這個(gè)階段中，

要?jiǎng)?chuàng)建IPSec SA。針對(duì)階段一，可選擇執(zhí)行兩種交換。一種叫作主模式（ Main Mode）交換，

另一種叫作野蠻模式（ Aggressive Mode）交換。其中，野蠻模式的速度較快，但主模式更顯

靈活。而階段二僅能選擇一種交換模式，即Quick Mode（快速模式）。這種交換會(huì)在特定的

IKE SA的保護(hù)之下，協(xié)商擬定IPSec SA（IKE SA是由階段一的某種交換所創(chuàng)建的）。

在默認(rèn)情況下， IPSec SA使用的密鑰是自I K E秘密狀態(tài)衍生的。偽隨機(jī)n o n c e會(huì)在快速模

式下進(jìn)行交換，并與秘密狀態(tài)進(jìn)行散列處理，以生成密鑰，并確保所有S A都擁有獨(dú)一無(wú)二的

密鑰。所有這樣的密鑰均不具備“完美向前保密（ P F S）”的特性，因?yàn)樗鼈兌际菑耐粋€(gè)

“根”密鑰衍生出來(lái)的（ I K E共享秘密）。為了提供P F S，D i ff i e - H e l l m a n公共值以及衍生出它

們的那個(gè)組都要和n o n c e一道進(jìn)行交換，同時(shí)還要交換具體的IPSec SA協(xié)商參數(shù)。最后，用得

到的秘密來(lái)生成IPSec SA，以確保實(shí)現(xiàn)所謂的“完美向前保密”。

I S A K M P、O a k l e y和S K E M E—這三個(gè)協(xié)議構(gòu)成了I K E的基礎(chǔ)。因此，我們說(shuō)I K E是一種

“混合型”協(xié)議，它沿用了I S A K M P的基礎(chǔ)、O a k l e y的模式以及S K E M E的共享和密鑰更新技術(shù)，

從而定義出自己獨(dú)一無(wú)二的驗(yàn)證加密材料生成技術(shù)，以及協(xié)商共享策略。

IKE階段1 中生成的SKYID_e用來(lái)加密后續(xù)建立ipsec sa 的報(bào)文的。而SKYID_d是IPSEC 共享秘鑰的根， 從SKYID_d中衍生來(lái)的。

IKE階段1 當(dāng)秘鑰交換結(jié)束后最后一步是做 驗(yàn)證的， 而驗(yàn)證方法的不同而算法不一樣。 驗(yàn)證方法有:(1)預(yù)共享秘鑰，(2)數(shù)字簽名， (3)加密nonce。

IKE階段1報(bào)文中的NONCE，還有COOKIE在SKYID的生成中扮演重要角色，另外兩個(gè)角色是 gx,gy和身份 id。  SKYID其實(shí)就是有這些角色算出來(lái)的散列值。